Geringere Latenzzeiten, höhere Übertragungsgeschwindigkeiten, bessere Netzstabilität – 5G bringt viele Vorteile mit sich, birgt allerdings auch eine erhöhte Gefahr durch Cyberangriffe. Denn mit der Vielzahl vernetzter Geräte steigt gleichzeitig auch die Zahl potenzieller Angriffspunkte. Um das Vertrauen in die IT-Sicherheit verschiedenster 5G-Mobilfunkkomponenten zu stärken, haben das 3rd Generation Partnership Project (3GPP) und die GSM Association (GSMA) das gemeinsame Bewertungsschema Network Equipment Security Assurance Scheme, kurz NESAS, entwickelt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dieses Schema wiederum in ein nationales Zertifizierungsschema zur Produktzertifizierung überführt: Das NESAS Cybersecurity Certification Scheme – German Implementation (NESAS CCS-GI).1
Mit ZTE Corporation hat nun der erste Mobilfunkausrüster im Rahmen eines Pilotprojektes das Prüf- und Zertifizierungsverfahren nach NESAS CCS-GI erfolgreich durchlaufen. Dies besteht grundsätzlich aus zwei Bereichen: Der Auditierung der Entwicklungs- und Lebenszyklusprozesse sowie der Evaluierung der betrachteten technischen Fähigkeiten eines Netzwerkproduktes. Die Bewertung des Produktes erfolgte im Fall von ZTE durch TÜVIT als anerkannte Prüfstelle für NESAS CCS-GI.
Im Rahmen des gemeinsamen Pilotprojektes wurde die entwickelte Prüfmethodik erstmalig in der Praxis angewendet. Dem ging ein komplexer Versuchsaufbau voraus, in dessen Rahmen unter anderem eine 5G-Funkbasisstation (gNodeB) des Herstellers installiert sowie ein komplettes 5G Kernnetz nachgebildet wurde. Um die Voraussetzungen für die erfolgreiche Durchführung der Prüfung zu schaffen, lieferten Schwertransporter mehrere Tonnen schweres Equipment in die TÜVIT-Räumlichkeiten auf dem TÜV NORD CAMPUS in Essen, das in enger Zusammenarbeit mit den Techniker:innen von ZTE aufgebaut wurde. Im Anschluss daran machten sich die IT-Sicherheitexpert:innen mit dem dahinterstehenden System vertraut und begannen mit dem Testen der 5G NR gNodeB gemäß der Prüfungsanforderungen von NESAS CCS-GI. Hierzu gehörten standardisierte Sicherheitstests sowie diverse Testfälle.
Während der gesamten Testzeit standen die Expert:innen von TÜVIT in kontinuierlichem Austausch mit dem BSI, um zu berichten, wie die Durchführung der festgelegten Tests in der Praxis funktioniert sowie Feedback in Bezug auf definierte Anforderungen zu geben. „Das Pilotprojekt mit ZTE und die damit einhergehenden Erfahrungen und Erkenntnisse haben entscheidend dazu beigetragen, die NESAS CCS-GI-Zertifizierung weiter voranzutreiben“, so Lisa Jäger, IT-Sicherheitsexpertin bei TÜVIT. „Damit hat das noch recht junge Zertifizierungsschema seine Bewährungsprobe offiziell bestanden. Entscheidend für den erfolgreichen Abschluss des Projektes war dabei das gute Zusammenspiel aus einem fachlich versierten Team bei TÜVIT und einem Hersteller, der sich den Anforderungen selbstbewusst gestellt hat."
1 Die Zertifizierung nach NESAS CCS-GI ersetzt nicht die Prüfung kritischer Komponenten nach §9b BSIG im Hinblick auf eine voraussichtliche Beeinträchtigung der öffentlichen Ordnung oder Sicherheit.
Über TÜVIT
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.
Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜVIT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP.